AWS CloudTrail Lake 신규 기능: 클라우드 가시성 및 조사 개선

AWS CloudTrail Lake는 감사, 보안 조사 및 운영 문제 해결을 위해 AWS CloudTrail에서 기록한 이벤트를 집계, 변경 불가능하게 저장 및 쿼리하는 데 사용할 수 있는 관리형 데이터 레이크입니다.

CloudTrail Lake의 새로운 업데이트는 다음과 같습니다.

CloudTrail 이벤트에 대한 필터링 옵션 향상
이벤트 데이터 스토어의 교차 계정 공유
생성형 AI 기반의 자연어 쿼리 생성 정식 출시
AI 기반의 쿼리 결과 요약 기능 평가판
AI 기반 인사이트(AI 기반 인사이트는 평가판으로 제공)가 포함된 대략적인 개요 대시보드, 다양한 사용 사례에 맞게 사전 구축된 14개의 대시보드 세트, 업데이트가 예정된 사용자 지정 대시보드 생성 기능 등 포괄적인 대시보드 기능

새로운 기능을 하나씩 살펴보겠습니다.

이벤트 데이터 스토어에 수집된 CloudTrail 이벤트에 대한 필터링 옵션 향상
향상된 이벤트 필터링 기능을 통해 이벤트 데이터 스토어에 수집되는 CloudTrail 이벤트를 더욱 효과적으로 제어할 수 있습니다. 이처럼 향상된 필터링 옵션은 AWS 활동 데이터를 더욱 엄격하게 제어하여 보안, 규정 준수 및 운영 환경 조사의 효율성과 정확도를 개선합니다. 또한 새로운 필터링 옵션을 사용하면 가장 관련성이 높은 이벤트 데이터만 CloudTrail Lake 이벤트 데이터 스토어에 수집하여 분석 워크플로 비용을 줄일 수 있습니다.

eventSource, eventType, eventName, userIdentity.arn, sessionCredentialFromConsole 등의 속성을 기준으로 관리 이벤트와 데이터 이벤트를 모두 필터링할 수 있습니다.

AWS CloudTrail 콘솔로 이동하여 탐색 창의 레이크에서 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어 생성을 선택합니다. 첫 번째 단계에서 이벤트 데이터 스토어 이름 필드에 이름을 입력합니다. 이 데모에서는 다른 필드를 기본값으로 두겠습니다. 요구 사항에 맞춰 가격 및 유지 옵션을 선택할 수 있습니다. 다음 단계에서는 CloudTrail 이벤트에서 관리 이벤트데이터 이벤트를 선택합니다. CloudTrail 이벤트에 필요한 모든 옵션을 포함할 수 있습니다. 수집 옵션을 선택할 수도 있습니다. 수집 이벤트가 생성되면 수집을 시작할 수집 이벤트를 선택합니다. 이벤트 데이터 스토어의 이벤트 수집을 중지하기 위해 수집 이벤트 옵션을 선택 취소하려는 시나리오가 있을 수 있습니다. 예를 들어 트레일 이벤트를 이벤트 데이터 스토어에 복사하고 이벤트 데이터 스토어에서 향후 이벤트를 수집하지 않도록 할 수 있습니다. 또한 조직의 모든 계정에 대해 수집을 활성화하거나 이벤트 데이터 스토어에 현재 리전만 포함하도록 선택할 수 있습니다.

다음 예에서는 필터링용 기본 템플릿을 보여줍니다. 이 템플릿에서는 AWS 서비스에 의해 시작된 모든 관리 이벤트를 제외합니다. 관리 이벤트에서 고급 이벤트 컬렉션을 선택합니다. 로그 선택기 템플릿 드롭다운에서 AWS 서비스 시작 이벤트 제외를 선택합니다. JSON 보기를 확장하여 필터가 실제로 어떻게 적용되는지 확인할 수도 있습니다.

다음 예에서는 데이터 이벤트에서 특정 사용자가 시작한 DynamoDB 데이터 이벤트를 포함하는 필터를 생성합니다. 이러한 필터는 IAM 위탁자에 따라 이벤트를 기록하는 데 도움이 됩니다. DynamoDB리소스 유형으로 선택합니다. 사용자 지정로그 선택기 템플릿으로 선택합니다. 고급 이벤트 선택기에서 userIdentity.arn을 필드로 선택하고 같음연산자로 선택합니다. 사용자의 ARN을 으로 입력합니다. 다음을 선택하고 마지막 단계에서 이벤트 데이터 스토어 생성을 선택합니다.

이제 수집된 CloudTrail 데이터를 세부적으로 제어할 수 있는 이벤트 데이터 스토어가 생성되었습니다.

이 확장된 필터링 옵션 세트를 사용하면 보안, 규정 준수 및 운영 요구 사항 측면에서 가장 관련성이 높은 이벤트만 더 선택적으로 캡처할 수 있습니다.

이벤트 데이터 스토어의 교차 계정 공유
이벤트 데이터 스토어의 교차 계정 공유 기능을 사용하여 조직 내 협업 분석을 강화할 수 있습니다. 따라서 리소스 기반 정책(RBP)을 통해 선택된 AWS 위탁자와 이벤트 데이터 스토어를 안전하게 공유할 수 있습니다. 이 기능을 통해 승인된 주체는 공유 이벤트 데이터 스토어가 생성된 리전과 동일한 AWS 리전 내에서 공유 이벤트 데이터 스토어를 쿼리할 수 있습니다.

이 기능을 사용하려면 AWS CloudTrail 콘솔로 이동하여 탐색 창의 레이크에서 이벤트 데이터 스토어를 선택합니다. 목록에서 이벤트 데이터 스토어를 선택하고 세부 정보 페이지로 이동합니다. 리소스 정책 섹션에서 편집을 선택합니다. 다음 정책 예에는 111111111111, 222222222222 및 333333333333 계정의 루트 사용자가 계정 ID 999999999999가 소유한 이벤트 데이터 스토어에서 쿼리를 실행하고 쿼리 결과를 가져올 수 있도록 하는 명령문이 포함되어 있습니다. 변경사항 저장을 선택하여 정책을 저장합니다.

CloudTrail Lake의 생성형 AI 기반 자연어 쿼리 생성이 이제 정식 버전으로 제공됩니다.
6월에 CloudTrail Lake의 이 기능을 평가판으로 발표했습니다. 이번 출시로 기술적인 SQL 전문 지식 없이도 자연어 질문을 사용하여 SQL 쿼리를 생성해서 AWS 활동 로그(관리, 데이터 및 네트워크 활동 이벤트만 해당)를 쉽게 탐색하고 분석할 수 있습니다. 이 기능은 생성형 AI를 사용하여 자연어 질문을 즉시 사용 가능한 SQL 쿼리로 변환하며, 이 쿼리는 CloudTrail Lake 콘솔에서 직접 실행할 수 있습니다. 이를 통해 이벤트 데이터 스토어를 탐색하고 오류 수, 사용된 주요 서비스, 오류 원인과 같은 인사이트를 검색하는 프로세스가 간소화됩니다. AWS Command Line Interface(AWS CLI)를 통해서도 이 기능에 액세스할 수 있으므로 명령줄 작업을 선호하는 사용자들은 추가적인 유연성을 누릴 수 있습니다. 평가판 블로그 게시물에서 CloudTrail Lake의 자연어 쿼리 생성 기능을 시작하는 방법에 대한 단계별 지침을 제공합니다.

CloudTrail Lake 생성형 AI 기반의 쿼리 결과 요약 기능 평가판
자연어 쿼리 생성 기능을 기반으로 AWS 계정 활동 분석 프로세스를 더욱 간소화할 수 있도록 새로운 AI 기반 쿼리 결과 요약 기능을 평가판으로 도입합니다. 이 기능을 사용하면 쿼리 결과의 핵심 사항을 자연어로 자동 요약하여 AWS 활동 로그(관리, 데이터 및 네트워크 활동 이벤트만 해당)에서 귀중한 인사이트를 쉽게 추출할 수 있으므로 정보를 이해하는 데 필요한 시간과 노력을 줄일 수 있습니다.

이 기능을 사용해 보려면 AWS CloudTrail 콘솔로 이동하여 탐색 창의 레이크에서 쿼리를 선택합니다. 이벤트 데이터 스토어의 드롭다운 목록에서 CloudTrail Lake 쿼리를 위한 이벤트 데이터 스토어를 선택합니다. 쿼리가 수동으로 작성되었든, 생성형 AI에 의해 생성되었든 상관없이 요약을 사용할 수 있습니다. 이 예에서는 자연어 쿼리 생성 기능을 사용하겠습니다. 쿼리 생성기에서 자연어를 사용하여 프롬프트 필드에 다음 프롬프트를 입력하겠습니다.

지난 한 달 동안 각 서비스에 대해 기록된 오류는 몇 개이며 각 오류의 원인은 뭐야?

그런 다음쿼리 생성을 선택합니다. 다음과 같은 SQL 쿼리가 자동으로 생성됩니다.

SELECT eventsource,
errorcode,
errormessage,
count(*) as errorcount
FROM a0******
WHERE eventtime >= ‘2024-10-14 00:00:00’
AND eventtime <= ‘2024-11-14 23:59:59’
AND (
errorcode IS NOT NULL
OR errormessage IS NOT NULL
)
GROUP BY 1,
2,
3
ORDER BY 4 DESC;

실행을 선택하여 결과를 얻습니다. 요약 기능을 사용하려면 쿼리 결과 탭에서 결과 요약을 선택합니다. CloudTrail은 쿼리 결과를 자동으로 분석하고 주요 인사이트에 대한 자연어 요약을 제공합니다. 한 가지 기억할 점은 요약할 수 있는 쿼리 결과의 월 할당량이 3MB라는 것입니다.

이 새로운 요약 기능을 사용하면 주요 결과에 대한 의미 있는 요약을 자동으로 생성하여 AWS 활동 데이터를 이해하는 데 드는 시간과 노력을 절약할 수 있습니다.

포괄적인 대시보드 기능
마지막으로, AWS 환경 전반에서 가시성과 분석을 개선하는 CloudTrail Lake의 새로운 대시보드 기능에 대해 말씀드리겠습니다.

첫 번째는 하이라이트 대시보드로, 여기에서 CloudTrail Lake 관리에서 캡처한 데이터와 이벤트 데이터 스토어에 저장된 데이터 이벤트를 요약한 내용을 쉽게 볼 수 있습니다. 이 대시보드를 사용하면 최상위 API 직접 호출 실패, 로그인 시도 실패 추세, 리소스 생성 급증 등 중요한 인사이트를 쉽게 파악하고 이해할 수 있습니다. 데이터의 모든 변칙 또는 특이한 추세를 보여줍니다.

AWS CloudTrail 콘솔로 이동해서 탐색 창의 레이크에서 대시보드를 선택하여 하이라이트 대시보드를 확인합니다. 먼저 동의 및 하이라이트를 활성화를 선택하여 하이라이트 대시보드를 활성화합니다.

하이라이트 대시보드가 데이터로 채워지면 확인해 봅니다.

새로운 대시보드 기능에 두 번째로 추가된 기능은 사전 구축된 14개의 대시보드 모음입니다. 이러한 대시보드는 다양한 사용자 및 사용 사례에 맞게 설계되었습니다. 예를 들어 보안에 초점을 맞춘 대시보드를 사용하면 상위 액세스 거부 이벤트, 콘솔 로그인 시도 실패, 다중 인증(MFA)을 비활성화한 사용자 등 주요 보안 지표를 추적하고 분석할 수 있습니다. 또한 스로틀링 오류가 있는 상위 API와 오류가 있는 상위 사용자 등 오류 및 가용성 문제의 추세를 보여주는 운영 모니터링용 대시보드도 사전 구축되어 있습니다. 또한 Amazon EC2, Amazon DynamoDB 등의 특정 AWS 서비스에 초점을 맞춘 대시보드를 사용하여 특정 서비스 환경 내의 보안 위험이나 운영 문제를 식별할 수 있습니다.

대시보드를 직접 생성하고 필요에 따라 대시보드를 새로 고치는 일정을 설정할 수 있습니다. 이런 수준의 사용자 지정은 AWS 환경 전반의 정확한 모니터링 및 조사 요구 사항에 맞게 CloudTrail Lake 분석 기능을 조정하는 데 도움이 됩니다.

관리형 대시보드 및 사용자 지정 대시보드로 전환하여 사용자 지정 대시보드와 사전 구축된 대시보드를 살펴보겠습니다.

전체 IAM 활동을 관찰하기 위해 사전 구축된 IAM 활동 대시보드를 선택합니다. 새 대시보드로 저장을 선택하여 이 대시보드를 사용자 지정할 수 있습니다.

사용자 지정 대시보드를 처음부터 생성하려면 탐색 창의 레이크에서 대시보드로 이동하여 나만의 대시보드 만들기를 선택합니다. 대시보드 이름 입력 필드에 이름을 입력하고 권한에서 이벤트 데이터 스토어를 선택하여 이벤트를 시각화합니다. 다음으로 대시보드 만들기를 선택합니다.

이제 대시보드에 위젯을 추가할 수 있습니다. 따라서 대시보드를 여러 가지 방법으로 유연하게 사용자 지정할 수 있습니다. 샘플 위젯 추가를 사용하여 미리 빌드된 샘플 위젯 목록에서 선택하거나 새 위젯 생성을 사용하여 사용자 지정 위젯을 직접 생성할 수 있습니다. 각 위젯에 대해 선 그래프, 막대 그래프 또는 데이터를 가장 잘 나타내는 기타 옵션 등 원하는 시각화 유형을 선택할 수 있습니다.

정식 출시
AWS CloudTrail Lake의 새로운 기능은 포괄적인 감사 로깅 및 분석 솔루션을 제공하는 측면에서 크게 발전했음을 나타냅니다. 이러한 개선 사항은 더 깊이 있게 이해하고 조사를 더 빠르게 수행할 수 있는 기능을 제공하므로 전체 AWS 환경에 대해 더욱 예방적인 모니터링을 하고 더 빠르게 인시던트를 처리할 수 있습니다.

이제 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(뭄바이), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다(중부) 및 유럽(런던) AWS 리전의 CloudTrail Lake에서 생성형 AI 기반 자연어 쿼리 생성을 시작할 수 있습니다.

CloudTrail Lake 생성형 AI 기반 쿼리 결과의 요약 기능은 미국 동부(버지니아 북부), 미국 서부(오레곤) 및 아시아 태평양(도쿄) 리전에서 평가판으로 이용할 수 있습니다.

향상된 필터링 옵션, 이벤트 데이터 스토어의 교차 계정 공유대시보드CloudTrail Lake가 제공되는 모든 리전에서 사용할 수 있습니다. 단, 하이라이트 대시보드의 생성형 AI 기반 요약 기능은 미국 동부(북부 버지니아), 미국 서부(오리건) 및 아시아 태평양(도쿄) 리전에서만 사용할 수 있습니다.

쿼리를 실행하면 CloudTrail Lake 쿼리 요금이 발생합니다. 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하세요.

– Esra

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다